Sistema y método de autenticación dinámica multifactor.
Un método de autenticación de un usuario (1), comprendiendo el método los pasos de:
enviar una solicitud de autenticación a un dispositivo de autenticación remoto (3);
generar una primera pieza de información de autenticación;
generar, dentro del dispositivo móvil del usuario, una segunda pieza de información de autenticación que sebasa al menos parcialmente en la primera pieza de información de autenticación recibida;
enviar la segunda pieza de información de autenticación al dispositivo de autenticación remoto;
validar la segunda pieza de información de autenticación; y, si se valida con éxito la segunda pieza deinformación de autenticación,
generar una señal de autenticación;
en donde la primera pieza de información de autenticación es recibida en el dispositivo móvil (2) desde unterminal de acceso (4); caracterizado porque:
la primera pieza de información de autenticación es presentada como una imagen sobre unos medios devisualización del terminal de acceso (4) y capturada desde éstos utilizando unos medios de adquisiciónóptica del dispositivo móvil (2); y
la primera pieza de información de autenticación contiene información transaccional relacionada con unatransición que desea hacer el usuario (1).
Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/GB2006/004829.
Solicitante: CRONTO LIMITED.
Nacionalidad solicitante: Reino Unido.
Dirección: 198 HUNTINGDON ROAD CAMBRIDGE CB3 0LB REINO UNIDO.
Inventor/es: DROKOV,Igor, PUNSKAYA,Elena, TAHAR,Emmanuel.
Fecha de Publicación: .
Clasificación Internacional de Patentes:
- H04L29/06 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
- H04W12/06 H04 […] › H04W REDES DE COMUNICACION INALAMBRICAS (difusión H04H; sistemas de comunicación que utilizan enlaces inalámbricos para comunicación no selectiva, p. ej. extensiones inalámbricas H04M 1/72). › H04W 12/00 Disposiciones de seguridad; Autenticación; Protección de la privacidad o el anonimato. › Autenticación.
PDF original: ES-2387073_T3.pdf
Fragmento de la descripción:
Sistema y método de autenticación dinámica multifactor.
La presente invención se refiere a un sistema y un método para autenticar dinámicamente a un usuario de un sistema de comunicaciones. El rápido crecimiento en las áreas de transacciones comerciales y bancarias en línea ha necesitado el desarrollo de diversos métodos de autenticación de usuarios de tales sistemas, impidiendo al propio tiempo el robo de identidades.
La vasta mayoría de métodos de autenticación actuales en línea utilizan lo que se conoce como autenticación estática monofactor. Este esquema implica que un usuario tenga alguna forma de identificación de entrada estática (ID) y de contraseña estática. Utilizando un navegador en un dispositivo de acceso local, tal como un ordenador personal, un usuario inicia una solicitud de autenticación con un dispositivo de autenticación remoto introduciendo primeramente una ID de entrada y una contraseña en una página web. El dispositivo de autenticación remoto varía entonces la combinación ID de entrada/contraseña y, si ésta es válida, produce alguna especie de señal de autenticación. Aunque sencillos de implementar, los esquemas de autenticación estática monofactor tienen graves inconvenientes y son muy vulnerables a dos tipos de ataques.
El primer tipo de ataque al que es propensa la autenticación estática monofactor es conocido como "phishing" (robo de identidad) . En este escenario una tercera parte malévola crea primero un sitio web que está diseñado para parecer y funcionar como un sitio web en el que un usuario desearía introducir información de autenticación. Seguidamente, la tercera parte atrae al usuario hacia el sitio web falsificado. Este paso se realiza usualmente enviando un correo electrónico a un usuario que contiene un enlace al sitio web falsificado y que incluye un mensaje diseñado para presionar al usuario a que tome inmediatamente alguna forma de acción registrándose en su cuenta. El usuario introduce entonces su ID de entrada estática y su contraseña estática en el sitio web falsificado, proporcionando así involuntariamente un información de autenticación a la tercera parte.
El segundo tipo de ataque al que es propensa la autenticación estática monofactor se conoce como "registro de teclado". Este ataque, aunque más difícil de poner en acción, es considerablemente más efectivo que el "phishing" debido a que es virtualmente indetectable para incluso el más versado usuario de ordenadores. Este tipo de ataque cuida de que un usuario descargue involuntariamente una pieza de "programa espía" que está empaquetada con otra pieza de software que el usuario intenta descargar, o que es distribuida con un virus. El programa espía es una pieza de software que recoge furtivamente información del usuario, tal como pulsaciones de teclado e información perteneciente a sitios web que ha visitado un usuario, y envía periódicamente esta información a una tercera parte malévola. Tal información puede someterse después fácilmente a referencias cruzadas a fin de extraer la información de autenticación de un usuario.
Se ha desarrollado recientemente una autenticación bifactor para superar las debilidades asociadas con los
sistemas de autenticación estática monofactor. La "tarjeta inteligente" fue el primero de tales sistemas en desarrollarse y está siendo utilizada actualmente en la mayoría de los países de Europa. Este sistema se basa en el uso de una tarjeta que comprende un microprocesador que contiene información necesaria para comunicarse con un lector de tarjetas inteligentes. Una vez que el lector de tarjetas inteligentes ha validado la propia tarjeta, un usuario introduce un número de identificación personal (PIN) en el lector y se envía la información a un dispositivo de autenticación remoto. Aunque esta solución es más segura que los sistemas de autenticación estática monofactor, las tarjetas inteligentes tienen ciertamente considerables desventajas. En primer lugar, las tarjetas inteligentes necesitan el uso de lectores de tarjetas inteligentes. Sin embargo, todo esto excluye el uso de un sistema de esta clase con dispositivos sencillos de acceso local tales como ordenadores personales. Asimismo, un usuario tiene que recordar un número PIN para cada tarjeta que esté en su posesión. Una solución a este problema es que un usuario tenga solamente un PIN para múltiples tarjetas inteligentes. Sin embargo, esta solución dejará ver que el PIN de usuario se emplea en una diversidad mucho más amplia de circunstancias, exponiendo así el PIN a más probabilidades de ser fraudulentamente utilizado. Si se interceptan una tarjeta y su PIN asociado, éstos pueden ser utilizados libremente por terceras partes malévolas.
Otra realización de un sistema de autenticación bifactor emplea parámetros biométricos de un usuario para proporcionar una segunda capa de autenticación. Por ejemplo, se han desarrollado sistemas que emplean el uso de un escáner de huella de pulgar para autenticar un usuario. Estos sistemas, aunque son seguros, son muy caros de implementar y, por tanto, no se despliegan actualmente a escala comercial. Asimismo, en situaciones en las que un usuario no es supervisado, es posible replicar huellas de pulgar a fin de contravenir estos sistemas. Por tanto, los sistemas basados en biometría no se prestan bien a una autenticación remota en línea.
Un reciente desarrollo en la materia de la autenticación de usuarios ha sido el advenimiento de la autenticación dinámica bifactor. Estos sistemas, de los que se piensa actualmente que son la más segura de todas las opciones económicamente viables, se basan en el uso de fichas que generan códigos de una manera pseudoaleatoria. Los usuarios de tales sistemas son provistos de su propia ficha que usualmente adopta la forma de un dispositivo electrónico que es lo bastante pequeño como para ser fijado a un llavero. El dispositivo electrónico utiliza un algoritmo para producir pseudoaleatoriamente una serie de códigos que se presentan al usuario. Por ejemplo, se
podría generar y presentar al usuario un nuevo código cada 60 segundos. Un dispositivo de autenticación remoto autentica el usuario basándose en una combinación de una ID de entrada, una contraseña y el código actual que aparece en la ficha. Así, cuando un usuario solicita autenticación, se introducen una ID de entrada, así como la contraseña y el código actual que aparece en la ficha. Sin embargo, estos sistemas siguen siendo vulnerables al 5 phishing, ya que una tercera parte, una vez que haya capturado un código a través de un sitio web falsificado, podría tener hasta 60 segundos para entrar en el sitio web real o para autorizar realmente una transacción fraudulenta utilizando el nombre de entrada, la contraseña y el código actual que aparece en la ficha. Otras desventajas de este método de autenticación dinámica bifactor es la necesidad de que el usuario lleve consigo una ficha para cada institución con la que realiza transacciones, la voluminosidad de las propias fichas y los altos costes implicados en la
fabricación de las fichas. Debido a esta desventaja, los sistemas de autenticación dinámica bifactor basados en fichas, aunque son bien conocidos, no son adecuados para su uso a amplia escala. Lo que se necesita es un sistema mejorado para proporcionar autenticación dinámica bifactor. El documento US-A-5668876 revela un método y un sistema para autenticar usuarios. El documento WO-A-011731 O revela un sistema para mejorar la seguridad GSM para redes de datos en paquetes. 15 Para resolver los problemas asociados con formas de autenticación de la técnica anterior, la presente invención proporciona un método de autenticación de un usuario, comprendiendo el método los pasos de: enviar una solicitud de autenticación a un dispositivo de autenticación remoto; generar una primera pieza de información de autenticación; generar, dentro del dispositivo móvil del usuario, una segunda pieza de información de autenticación que se basa al 20 menos parcialmente en la primera pieza de información de autenticación recibida;
enviar la segunda pieza de información de autenticación al dispositivo de autenticación remoto; validar la segunda pieza de información de autenticación; y, si la segunda pieza de información de autenticación es validada con éxito;
generar una señal de autenticación;
en donde la primera pieza de información de autenticación se recibe en el dispositivo móvil desde el terminal de acceso; caracterizado porque: la primera pieza de información de autenticación... [Seguir leyendo]
Reivindicaciones:
1. Un método de autenticación de un usuario (1) , comprendiendo el método los pasos de: enviar una solicitud de autenticación a un dispositivo de autenticación remoto (3) ; generar una primera pieza de información de autenticación; generar, dentro del dispositivo móvil del usuario, una segunda pieza de información de autenticación que se
basa al menos parcialmente en la primera pieza de información de autenticación recibida; enviar la segunda pieza de información de autenticación al dispositivo de autenticación remoto; validar la segunda pieza de información de autenticación; y, si se valida con éxito la segunda pieza de
información de autenticación, generar una señal de autenticación; en donde la primera pieza de información de autenticación es recibida en el dispositivo móvil (2) desde un
terminal de acceso (4) ; caracterizado porque: la primera pieza de información de autenticación es presentada como una imagen sobre unos medios de
visualización del terminal de acceso (4) y capturada desde éstos utilizando unos medios de adquisición óptica del dispositivo móvil (2) ; y la primera pieza de información de autenticación contiene información transaccional relacionada con una
transición que desea hacer el usuario (1) .
2. El método de la reivindicación 1, en el que se captura la información de autenticación del terminal de acceso (4) utilizando una cámara digital del dispositivo móvil (2) .
3. El método de cualquiera de las reivindicaciones anteriores, en el que el paso de generación de la segunda pieza de información de autenticación se efectúa utilizando la identidad internacional de equipo móvil, IMEI, una información relacionada con el módulo de identidad de abonado, SIM, o cualquier otra información específica del dispositivo móvil (2) del usuario (1) .
4. El método de cualquiera de las reivindicaciones anteriores, en el que la segunda pieza de información de autenticación comprende datos biométricos.
5. Un sistema de autenticación de un usuario, comprendiendo el sistema:
unos medios emisores para enviar una solicitud de autenticación a un dispositivo de autenticación remoto (3) ;
unos medios generadores para generar una primera pieza de información de autenticación;
unos medios generadores para generar, dentro del dispositivo móvil de un usuario (1) , una segunda pieza de información de autenticación que se basa al menos parcialmente en la primera pieza de información de autenticación recibida;
unos medios emisores para enviar la segunda pieza de información de autenticación al dispositivo de autenticación remoto;
unos medios validadores para validar la segunda pieza de información de autenticación; y
unos medios generadores para generar una señal de autenticación si la segunda pieza de información de autenticación es validada con éxito por los medios validadores;
en donde el sistema está concebido de tal manera que la primera pieza de información de autenticación es recibida en el dispositivo móvil (2) desde un terminal de acceso; y
en donde el sistema se caracteriza porque está concebido de tal manera que la primera pieza de información de autenticación es presentada como una imagen sobre unos medios de visualización del terminal de acceso (4) y capturada desde éstos utilizando unos medios de adquisición óptica del dispositivo móvil (2) ; y la primera pieza de información de autenticación contiene información transaccional relacionada con una transacción que desea hacer el usuario.
6. El sistema de la reivindicación 5, en el que el sistema está concebido de tal manera que se captura la información de autenticación del terminal de acceso (4) utilizando una cámara digital del dispositivo móvil (2) .
7. El sistema de cualquiera de las reivindicaciones 5 ó 6, en el que el sistema está concebido de tal manera que los medios generadores generan la segunda pieza de información de autenticación utilizando la identidad internacional de equipo móvil, IMEI, una información relacionada con el módulo de identidad de abonado, SIM, o cualquier otra
información específica del dispositivo móvil (2) del usuario (1) .
8. El sistema de cualquiera de las reivindicaciones 5 a 7, en el que la segunda pieza de información de autenticación comprende datos biométricos.
9. El sistema de cualquiera de las reivindicaciones 5 a 8, en el que el dispositivo móvil (2) es una ficha de hardware que comprende: 10 unos medios de entrada óptica (10) ;
unos medios de procesamiento (8) ; y unos medios de visualización (11) .
Patentes similares o relacionadas:
Procedimiento y dispositivo para el procesamiento de una solicitud de servicio, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para el procesamiento de una solicitud de servicio, comprendiendo el procedimiento: recibir (S201), mediante un nodo de consenso, una solicitud […]
Sincronización de una aplicación en un dispositivo auxiliar, del 22 de Julio de 2020, de OPENTV, INC.: Un método que comprende, mediante un dispositivo de medios: acceder, utilizando un módulo de recepción, un flujo de datos que incluye contenido […]
Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para la gestión de riesgos de información de aplicación en un dispositivo de red, comprendiendo el procedimiento: recibir información […]
Gestión de memoria intermedia recomendada de red de una aplicación de servicio en un dispositivo de radio, del 22 de Julio de 2020, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método llevado a cabo por un nodo de red en una red de comunicación por radio , comprendiendo el método: obtener (S1) una predicción del ancho […]
Método, servidor y sistema de inicio de sesión de confianza, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método de inicio de sesión de confianza implementado por computadora aplicado a un sistema de inicio de sesión de confianza que comprende un primer sistema de aplicación […]
Método y aparato para configurar un identificador de dispositivo móvil, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método implementado por servidor para configurar un identificador de dispositivo móvil, que comprende: obtener una lista de aplicaciones, APP, […]
Método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático de cliente que comprende una entidad de módulo de identidad de abonado con un kit de herramientas de módulo de identidad de abonado así como una miniaplicación de módulo de identidad de abonado, sistema, dispositivo informático de cliente y entidad de módulo de identidad de abonado para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en el dispositivo informático de cliente, programa que comprende un código de programa legible por ordenador y producto de programa informático, del 22 de Julio de 2020, de DEUTSCHE TELEKOM AG: Un método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático […]
Método para atender solicitudes de acceso a información de ubicación, del 22 de Julio de 2020, de Nokia Technologies OY: Un aparato que comprende: al menos un procesador; y al menos una memoria que incluye un código de programa informático para uno o más programas, […]